rastafactory blogsites » FuelPHP tips Fuelのセキュリティ機能１

そろそろFuelPHPにも慣れてきたんじゃないっすかぁ？
じゃぁちょっとセキュリティとかっていう面倒くさいものをやりましょうか。
~~大丈夫大丈夫！FuelPHP優秀だから大丈夫だって！諦めんなよ！あっつくなれよ！~~

FuelPHPにあるセキュリティ:Security

FuelPHPには最初から以下のセキュリティ機能が入ってたりします。

・出力フィルタ
・URIフィルタ
・SQL文の自動エスケープ
・入力フィルタ
・CSRF保護
・XSSフィルタ
・バリデーション(検証)

上3つの太字で表したものはデフォルトで有効になっています。
多分意識してないと思いますが、コントローラーからビューに変数を渡すときに出力フィルタが働いています。
１つ１つ見ていきましょうか。

1. 出力フィルタ

Securityクラスにhtmlentities()って関数があって、出力フィルタとURIフィルタで使ったりしてます。
この関数は文字列をエスケープして返します。
なんのこっちゃって言う人のために、以下のサンプルをどうぞ。（Viewは適当に作ってね★）

/*action_index以外省略*/
public function action_index()
{
   //例えばユーザが入力した値を表示するものとする
   //↓Inputクラスで取得したりしたものとする
   $data = "<script>alert('(・ω・)')</script>";

   //↓第3引数でfalseを指定すると出力フィルタがオフになる
   return View::forge('test_view',array('data'=>$data) ,false);
}

/*action_index以外省略*/

public function action_index()

{

//例えばユーザが入力した値を表示するものとする

//↓Inputクラスで取得したりしたものとする

$data = "<script>alert('(・ω・)')</script>";

//↓第3引数でfalseを指定すると出力フィルタがオフになる

return View::forge('test_view',array('data'=>$data) ,false);

}

このサンプルのページにいくと、javascriptのalertが出てきて「（・ω・）」とかふざけた顔文字が出てくる。
顔文字だったらカワイイだけで済むが(かわいいよねこれ（・ω・）)
これをユーザーが自由に入力できるとしたら攻撃されまくりである。
例えばユーザー名に
「<script>有害コード</script>」
って入力されたりするかもね。

なんかヤバい感じを味わったら、次は

   //↓第3引数でfalseを指定すると出力フィルタがオフになる
   //return View::forge('test_view',array('data'=&gt;$data) ,false);
   return View::forge('test_view',array('data'=&gt;$data) , true);

//↓第3引数でfalseを指定すると出力フィルタがオフになる

//return View::forge('test_view',array('data'=>$data) ,false);

return View::forge('test_view',array('data'=>$data) , true);

さっき作ったサンプルの上の部分を変更してみよう。
第3引数をfalseからtrueにするのだ。
すると、今度はサンプルで書いたScriptのコードがそのまま出てきたと思う。
ブラウザの機能の「ソースコードを表示」で見てみると、不思議な文字の羅列があったりする。
これは出力フィルタがhtmlタグをそのまんまじゃなく、それを示す違う記号にエスケープしたのです。

ちなみに、第3引数を省略すると、デフォルトでtrue設定になるので安心だ（・ω・）b

便利ですね。

2. URIフィルタ

URIフィルタとは。
まず以下のサンプルをどうぞ

class Controller_Test extends Controller
{
    public function action_index($a='')
    {
        $data = "<>以外が入力された？";
        if($a === Security::htmlentities("<>"))
            $data = "URIフィルタOn";
        else if($a === "<>")
                $data = "URIフィルタおっふ";
        return View::forge('test_view',array('data'=>$data));
    }
}

class Controller_Test extends Controller

{

public function action_index($a='')

{

$data = "<>以外が入力された？";

if($a === Security::htmlentities("<>"))

$data = "URIフィルタOn";

else if($a === "<>")

$data = "URIフィルタおっふ";

return View::forge('test_view',array('data'=>$data));

}

これで「http://~~~~~/test/index/<>」というURLにアクセスしましょう。(~~~の部分は当然各環境に合わせてください)

action_indexは本来指定しなくてもアクセス出来ますが、パラメーターを$aとして受けとるために記述が必要になってきます。
そしてパラメーターとして「<>」を渡しています。（あくまで例です。他にも試してみてください。）
サンプルでは、この「<>」をSecurityクラスのhtmlentitiesを使用して、URIフィルタが機能しているかどうかを判定しています。
~~まぁぶっちゃけ”URIフィルタおっふ”は表示される事はないだろう。。。or~~

オンとかオフとか書きましたが、このURIフィルタをオフにする方法がちょっと見つからなかったので設定はデフォルトのままで放置します。

3. SQL文の自動エスケープ

FuelPHPではSQLインジェクションに対する機能があります。
データベースを扱う部分で説明すると思いますが、クエリビルダーがその役目を負っています。
例えば「DB::select()->・・・」で始まる奴とかですね。
このクエリビルダー機能で発行されたクエリは全てエスケープ済みです。
DBクラスのクエリビルダーってすごく簡単でしかもセキュリティ対策もしてくれてるのです！
いやぁSQL文使わなくても（使えなくても）いいんですよー。

あとの4つはFuelのセキュリティ機能２で説明します。